Premiär! Fyndchans i SweClockers Månadens Drop
Forum Övrigt Nyhetskommentarer Tråd Inlägg

MSI:s moderkort uppges ha säkerhetsbrist i UEFI

1 2
Skriv svar
Permalänk
Medlem
Skrivet av evil penguin:

Vore intressant (men förmodligen alldeles för jobbigt reda ut) att se vad det eventuellt står i specen att beteendet skall vara. Jag tycker att det verkar direkt osannolikt att det "ska" vara som MSI gjort.

Gå till inlägget

Som jag förstår det är det numera ett Microsoft-krav att Secure Boot måste vara på om man ska få sälja en dator tillsammans med Windows. Detta gör det omöjligt att installera många alternativa operativsystem med default-inställningarna på sådana datorer. Microsoft kontrollerar signeringsnycklarna, vilket innebär att organisationer som vill sälja alternativa OS blir beroende av Microsoft. Användare måste förstå vad Secure Boot är och veta hur man slår av det för att kunna installera alternativa OS (från tillverkare/frivilligorganisationer som inte får/vill/har råd att samverka med MS).

Slutresultatet blir krångel och färre installationer av Windows konkurrenter, vilket antagligen inte är en oönskad bieffekt till ”ökad säkerhet”.

Detta krav är relativt nytt, ungefär i ålder med Windows 11 tror jag. Det har aldrig behövts förr.

MSI, som säljer moderkort och en del färdiga datorer lever nog i något slags gränsland här. Man har helt enkelt valt att äta kakan och ha den kvar. Secure Boot på som default har som sagt aldrig behövts förr, men nu måste man ha det om man ska stoppa i sitt moderkort i en färdigbyggd dator med Windows. Å andra sidan så är det ju jävla jobbigt (och riskerar att öka supportbördan) att inte kunna boota OS utan Microsoft-signerad shim. Just nu går det att ändra inställningen, men till Windows 12 kanske det blir ett krav att inte kunna slå av Secure Boot?

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av KAD:

Som jag förstår det är det numera ett Microsoft-krav att Secure Boot måste vara på om man ska få sälja en dator tillsammans med Windows. Detta gör det omöjligt att installera många alternativa operativsystem med default-inställningarna på sådana datorer. Microsoft kontrollerar signeringsnycklarna, vilket innebär att organisationer som vill sälja alternativa OS blir beroende av Microsoft. Användare måste förstå vad Secure Boot är och veta hur man slår av det för att kunna installera alternativa OS (från tillverkare/frivilligorganisationer som inte får/vill/har råd att samverka med MS).

Slutresultatet blir krångel och färre installationer av Windows konkurrenter, vilket antagligen inte är en oönskad bieffekt till ”ökad säkerhet”.

Detta krav är relativt nytt, ungefär i ålder med Windows 11 tror jag. Det har aldrig behövts förr.

MSI, som säljer moderkort och en del färdiga datorer lever nog i något slags gränsland här. Man har helt enkelt valt att äta kakan och ha den kvar. Secure Boot på som default har som sagt aldrig behövts förr, men nu måste man ha det om man ska stoppa i sitt moderkort i en färdigbyggd dator med Windows. Å andra sidan så är det ju jävla jobbigt (och riskerar att öka supportbördan) att inte kunna boota OS utan Microsoft-signerad shim. Just nu går det att ändra inställningen, men till Windows 12 kanske det blir ett krav att inte kunna slå av Secure Boot?

Gå till inlägget

Många datorer tillåter att man lägger in egna nycklar i UEFI bios för secure boot så att man kan boota alternativa OS utan microsofts nycklar. Det är detta man använder sbctl till och det var via en issue på deras github som gjorde att denna säkerhetsbrist upptäcktes. Det finns alternativ att boota med micrsofts nycklar via shim bootloader men det är inte lika säkert som att använda egna nycklar och signera binärerna själv. Dualbootar man med windows kan man ha både microsofts nycklar och sina egna. Viss hårdvara kräver microsofts nycklar för att låsa upp firmware så det kan vara riskfyllt att ta bort microsofts nycklar även om man inte använder windows.

Har i planen att dualboota Arch Linux och Windows 11 med egna nycklar för Linux. Kör för närvarande utan secure boot och windows 11 samt Arch kan boota ändå. Har dock ett MSI moderkort så jag behöver kolla upp hur man ska ställa in allt. Det är inte så mycket att jag behöver detta, mer att lära mig hur det fungerar. Jag skapade en egen tråd om detta för några veckor sedan.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av anon132576:

Lite knepigt att det ens finns en sådan inställning ur ett rent säkerhetsperspektiv... Vem som helst kan ju gå in i UEFI på 99.999% av alla privatägda datorer (typ hamra F2 eller Delete oftast) och bara stänga av funktionen utan några som helst hinder. Sällan det är något lösenord inlagt, och iallafall förr i tiden glömdes ju lösenordet helt om man nollställde klockchippet. Kanske saker är modernare nuförtiden, har inte kollat uppriktigt sagt.

Förvisso krävs det ju direktåtkomst till datorn, och det brukar ju vara så att om skurken har tillgång till din apparat så är du sannolikt körd oavsett vad för åtgärder som utförs, men här kan det ju bli en okänd fälla. Du kan tro att secure boot är aktivt och att du är trygg, och så är det inte så.

Kör man windows 11 så tar det kanske stopp, jag har inte kollat upp exakt hur benhårt MS håller på att secure boot måste vara påslaget för att den ska starta upp, men det är nog tuffare än med typ linux, där man ju kan riva ut säkerhetskoden och kompilera om kärnan utan...

Gå till inlägget

Jag förökte nolla en lenovo för några veckor sedan. Bitlocker på disken. Inga problem lågnivå formaterade disken. Men UEFI var helt hopplöst. Bateri och CMOS batteri bortkopplat i ca 30min inte nollat UEFI så kan inte ändra boot till usb minnet. Lenovo rekomenderar moderkortsbyte. Säkerhet är bra men då man inte hittar lösenorden kan man bli lite sur. Var i allla fall inte jag som skrev upp dem frång början. Liten tröst. Tagit mig förbi secure boot tidigare genom att krasha windows boot partionen men det verkar lite bättre nu.

Visa signatur

CPU: 5900x. Mem:64GB@3200 16-17-17-34-1T. (ImDIsk)
GPU: 1080 Ti@ca 6-7%OC. Sound: SB-Z -> toslink (DTS)-> old JVC. MB Realtek to Z-2300 for VOIP.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av hACmAn:

Jag förökte nolla en lenovo för några veckor sedan. Bitlocker på disken. Inga problem lågnivå formaterade disken. Men UEFI var helt hopplöst. Bateri och CMOS batteri bortkopplat i ca 30min inte nollat UEFI så kan inte ändra boot till usb minnet. Lenovo rekomenderar moderkortsbyte. Säkerhet är bra men då man inte hittar lösenorden kan man bli lite sur. Var i allla fall inte jag som skrev upp dem frång början. Liten tröst. Tagit mig förbi secure boot tidigare genom att krasha windows boot partionen men det verkar lite bättre nu.

Gå till inlägget

BIOS lösenordet är sparat på ett chip så för att nollställa lösenordet på nyare ThinkPads så behöver man göra mer än bara ta bort allt batteri i datorn, om det är en ThinkPad du pratar om

Visa signatur

Stationär PC: Chassi: Phanteks Enthoo EVOLV ATX MB: MSI B550 Gaming Plus CPU: AMD Ryzen 7 5700X Kylning: Noctua NH-U12S GPU: MSI GeForce GTX 1060 Gaming X 6 GB RAM: Corsair Vengeance LPX Black 32GB 3600MHz NVMe: 2st Kingston A2000 SSD: Intel 520 180GB och Intel 530 240GB HDD: WD Green 1TB, Toshiba 640GB samt fler HDD PSU: Corsair RM750X. Mobila enheter Mina Androidenheter och Dell Latitude 5400. Citera om du vill ha ett garanterat svar från mig

Redigera
Citera flera Citera
Permalänk
Medlem

De har lagt till ändringen ser jag iallafall på mitt kort som ännu inte är installerat (suck)

Visa signatur

Chassi: Corsair Obsidian 500 RGB SE / Systemdisk Samsung 980 PRO SSD: Samsung 850 PRO 250GB / SSD: Samsung 850 EVO 250GB / SSD: Crucial MX300 1TB / CPU: Ryzen 7 3800X @ 4,2 Ghz / Kylning: Noctua NH-D15S push/pull / GPU: MSI 3080Ti SUPRIM X / PSU: Corsair RM1200i / MB: ASUS X470-f Gaming / RAM: HyperX Fury 2x16GB 3600 mhz / OS: W10 / Mus: Logitech G903 / TB: Logitech G915 TKL Wireless / Ljud: Sound BlasterX Pro-Gaming AE-9, Blue Yeti , Sennheiser HD660S, Skärm: Acer Predator X34P @3440x1440 UltraWide

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av KAD:

Som jag förstår det är det numera ett Microsoft-krav att Secure Boot måste vara på om man ska få sälja en dator tillsammans med Windows. Detta gör det omöjligt att installera många alternativa operativsystem med default-inställningarna på sådana datorer. Microsoft kontrollerar signeringsnycklarna, vilket innebär att organisationer som vill sälja alternativa OS blir beroende av Microsoft. Användare måste förstå vad Secure Boot är och veta hur man slår av det för att kunna installera alternativa OS (från tillverkare/frivilligorganisationer som inte får/vill/har råd att samverka med MS).

Gå till inlägget

Det finns som jag ser det definitivt inget hinder att designa UIt så att man informerar och leder användaren rätt, utan att ljuga för både användare och mjukvara som kollar om Secure Boot är på/av.

Skrivet av KAD:

Slutresultatet blir krångel och färre installationer av Windows konkurrenter, vilket antagligen inte är en oönskad bieffekt till ”ökad säkerhet”.

Detta krav är relativt nytt, ungefär i ålder med Windows 11 tror jag. Det har aldrig behövts förr.

Gå till inlägget

Jag är inte säker på att det faktiskt ens är en del av målet, men det ställer helt klart nya krav, och MSI har klantat till det något grovt som jag ser det.

Skrivet av KAD:

MSI, som säljer moderkort och en del färdiga datorer lever nog i något slags gränsland här. Man har helt enkelt valt att äta kakan och ha den kvar. Secure Boot på som default har som sagt aldrig behövts förr, men nu måste man ha det om man ska stoppa i sitt moderkort i en färdigbyggd dator med Windows. Å andra sidan så är det ju jävla jobbigt (och riskerar att öka supportbördan) att inte kunna boota OS utan Microsoft-signerad shim.

Gå till inlägget

Deras specifika lösning för att "äta kakan och ha den kvar" är ju vad som är direkt bedrägligt beteende.

Skrivet av KAD:

Just nu går det att ändra inställningen, men till Windows 12 kanske det blir ett krav att inte kunna slå av Secure Boot?

Gå till inlägget

Det hoppas jag verkligen inte, men det är ju en HELT annan fråga. Just att agera som MSI gör ökar väl dock risken, om något. Just att som samarbetspartner aktivt sabotera den nuvarande mjukare linjen lär ju inte leda till något gott.

Visa signatur

Desktop: Ryzen 5800X3D || MSI X570S Edge Max Wifi || Sapphire Pulse RX 7900 XTX || Gskill Trident Z 3600 64GB || Kingston KC3000 2TB || Samsung 970 EVO Plus 2TB || Samsung 960 Pro 1TB || Fractal Torrent || Asus PG42UQ 4K OLED
Proxmox server: Ryzen 5900X || Asrock Rack X570D4I-2T || Kingston 64GB ECC || WD Red SN700 1TB || Blandning av WD Red / Seagate Ironwolf för lagring || Fractal Node 304

Redigera
Citera flera Citera
1 2
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara